Мы хотим перенести наши учетные записи пользователей из OpenLDAP в Active-Directory без изменения паролей и тому подобного. Пользователи не должны замечать разницы, на каком сервере они проходят аутентификацию.
Как создать учетную запись пользователя в активном каталоге с помощью PowerShell это очень интересный подход, но поскольку пароли хранятся в зашифрованном виде, он нам не подходит.
Какие возможные решения / настройки для нашей задачи?
Версия OpenLDAP: 2.1 на SuSE, Windows Server 2008
Для импорта, если вы можете выгрузить свои данные в формате CSV, CSVDE хорошо работает для массового импорта в AD. Недавно мы перенесли пару сотен пользователей из eDirectory в AD, и все прошло очень хорошо. Я не могу ответить на ваш вопрос о пароле, поскольку, когда мы это делали, мы просто установили бит «необходимо сменить пароль при следующем входе в систему» и заставили пользователей сделать это сами.
Маловероятно, что вы сможете получить пароли из OpenLDAP, если он не будет работать иначе, чем обычный каталог.
Что делают некоторые клиенты в этом сценарии, так это устанавливают средний уровень для аутентификации, который сначала проверяет пароль пользователя на источник, а затем записывает его в AD, если он действителен, до их аутентификации. Если вы сделаете это с помощью нескольких ключевых сервисов, за короткий период времени вы перехватите большинство паролей.